Facebook Linkedin Twitter Instagram Youtube Telegram

Nueva campaña de APT dirigida a organizaciones militares y financieras

Los investigadores de Kaspersky, gracias al Motor de Atribución de Amenazas, han podido vincular más de 300 muestras de una puerta trasera llamada Bisonal a una campaña del actor APT CactusPete, un grupo de ciberespionaje activo al menos desde 2012.

Esta última campaña se ha centrado en objetivos militares y financieros en Europa del Este y evidencia el rápido desarrollo del grupo.

CactusPete, también conocido como Karma Panda o Tonto Team, es un grupo de ciberespionaje activo al menos desde 2012. En esta ocasión ha mejorado su puerta trasera para atacar a organizaciones militares y financieras de Europa oriental y acceder a información confidencial. Además, la velocidad con la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que las organizaciones que responden al perfil indicado en dicha área geográfica deben estar alerta. 

Esta última ola de actividad fue detectada por primera vez por los investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera del grupo denominada Bisonal. Utilizando el Motor de Atribución de Amenazas de Kaspersky -una herramienta para analizar el código malicioso en busca de similitudes con código desplegado por actores de amenazas conocidos para determinar qué grupo está grupo detrás de un ataque-, vincularon esta muestra a otras 300 que se encontraban “in the wild”.

Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020 al ritmo de unas 20 por mes, lo que pone de relieve el hecho de que CactusPete se está desarrollando rápidamente. De hecho, el grupo ha seguido mejorando sus capacidades, con acceso a código más sofisticado como ShadowPad en 2020. 

La funcionalidad de la carga maliciosa sugiere que el grupo está buscando información altamente sensible. Una vez instalado en el dispositivo de la víctima, la puerta trasera Bisonal permite al grupo activar silenciosamente varios programas, finalizar cualquier proceso, cargar/descargar/eliminar archivos y extraer la lista de unidades disponibles. Además, a medida que los operadores se adentran en el sistema infectado, despliegan keyloggers para hacerse con credenciales y descargar malware con elevación de privilegios para obtener gradualmente mayor control sobre el sistema

En esta campaña, no está claro cómo se lleva a cabo la descarga inicial de la puerta trasera. En el pasado, CactusPete utilizaba técnicas de spear-phishing mediante correos electrónicos que contenían archivos adjuntos maliciosos. Si se abría el archivo adjunto, el dispositivo se infectaba. 

«CactusPete» es un grupo de APT bastante interesante porque en realidad no es tan avanzado – incluso considerando la puerta trasera Bisonal. Su éxito no proviene de una tecnología sofisticada o de complejas tácticas de distribución y ofuscación, sino de la aplicación exitosa de tácticas de ingeniería social. Son capaces de tener éxito en la infección de objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ciberataques y por qué es tan importante que las empresas proporcionen a sus empleados formación para saber detectar esos correos electrónicos y se mantengan al día en la información más reciente sobre las amenazas, de modo que puedan detectar a un actor avanzado«, comenta Konstantin Zykov, investigador senior de seguridad de Kaspersky.  

Más información sobre la reciente actividad de CactusPete en Securelist.

Para proteger a las organizaciones de CactusPete y otros APT, los expertos de Kaspersky recomiendan: 

  • Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la información más reciente sobre inteligencia de amenazas, y manténgase al día sobre las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y los ciberdelincuentes.
  • Para la detección, investigación y remediación de incidentes en el endpoint, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
  • Proporcione a su personal una formación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social. Realice una simulación de ataque de phishing para asegurarse de que saben cómo distinguir este tipo de correos electrónicos.
  • Para vincular rápidamente nuevas muestras maliciosas con actores de ataque conocidos, implemente el Motor de Atribución de Amenazas de Kaspersky.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.